3 lata temu zaczęliśmy stosować tzw. RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Jego wprowadzenie wywołało mnóstwo zamieszania wśród firm, w których przetwarzanie danych osobowych stanowi element działalności, ale także wśród freelancerów czy osób prowadzących działalność gospodarczą. Choć minęło już nieco czasu, od kiedy RODO obowiązuje, hasło ta nadal wywołuje wiele emocji. Dzieje się tak dlatego, że Prezes Urzędu Ochrony Danych Osobowych działa prężnie, a każde naruszenie przepisów RODO rozstrzygane jest surowo.
Spis treści
Jakie są kary?
Wysokość kary pieniężnej za niestosowanie się do przepisów Rozporządzenia może sięgnąć nawet 4% rocznego obrotu lub kwoty 20 mln EUR. Największą karą grzywny z tytułu naruszeń przepisów Rozporządzenia pozostaje nałożona w 2019 r. na koncern Google grzywna w wysokości 50 mln euro. Orzekł o niej francuski organ ochrony danych osobowych CNIL.
W Polsce najwyższą kara do tej pory była kwota 2,8 mln złotych, nałożona na sklep internetowy, którego baza klientów w wyniku wycieku dostała się w niepowołanej ręce.
Kary nakładane są nie tylko na gigantów biznesu, ukaranym może być każdy, kto przetwarza dane osobowe. Jednym z takich przypadków ukarania podmiotu nie będącego przedsiębiorcą jest kara w wysokości 100 000 zł nałożona na Głównego Geodetę Kraju (GGK). Co więcej, na GGK zostały w krótkim czasie nałożone dwie kary o takiej wysokości (która to kwota jest kwotą maksymalną, jaką Prezes Urzędu Ochrony Danych Osobowych – PUODO może nałożyć w przypadku jednostki sektora finansów publicznych). Obie kary związane są z funkcjonowaniem GEOPORTALU2, tj. aplikacji internetowej stworzonej i prowadzonej przez Główny Urząd Geodezji i Kartografii. Przed karą nałożoną przez organ nadzorczy nie uchroniła się także Krajowa Szkoła Sądownictwa i Prokuratury, z której podczas testów aplikacji wyciekły dane osobowe asesorów, prokuratorów, sędziów i innych osób powiązanych z organem.
Jak wskazuje raport Związku Firm Ochrony Danych Osobowych[1], w organizacjach działających w Polsce, aż 71 % naruszeń bezpieczeństwa danych zwykle dokonują pracownicy i współpracownicy. Większość, bo aż 89% to sytuacje nieumyślne, wśród których są m.in. zagrożenia spowodowane błędnym adresowaniem maili lub niestosowaniem kopii ukrytych w korespondencji. Przyczyną tego może być zwyczajny błąd ludzki, jaki może zdarzyć się każdemu, lub nieodpowiednie wdrożenie stosowania RODO w przedsiębiorstwie. Jak wynika z raportu najgorzej chronione dane to imię i nazwisko oraz adres e-mail .
Stało się. Wysłałeś maila zawierającego bazę danych osobowych pod zły adres, co dalej?
Błędny adres odbiorcy korespondencji to jeden z przykładów naruszenia ochrony danych osobowych, zdefiniowanego w art. 4 pkt 12 RODO (nieuprawnione ujawnienie danych osobowych). Wystarczy jedna literówka w adresie mailowym, który również okaże się prawdziwy, by uznać to za nieuprawnione ujawnienie danych osobowych. Podobnie rozesłanie zbiorowej korespondencji bez użycia tzw. kopii ukrytej może stanowić naruszenie danych osobowych.
W każdym z tych przypadków kluczowym będzie zakres danych osobowych, jakie zostały ujawnione oraz kontekst sytuacji. Samo udostępnienie adresu e-mailowego bez łączenia go z innymi danymi osobowymi, tj. adresem zamieszkania, numerem PESEL, numerem dowodu osobistego czy szczegółowymi informacjami np. o zdrowiu czy zainteresowaniach, nie będzie powodowało po stronie osoby, której dane dotyczą, dużego ryzyka, że ktoś może wykorzystać adres e-mailowy i zrobić z niego użytek niezgodny z przepisami prawa. Taka sytuacja może obejmować np. dyskryminację, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utratę poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej.
Jeżeli doszło do ujawnienia bazy adresów e-mail, po pierwsze, należy zweryfikować te adresy e-mail, które zostały ujawnione. Wydaje się, że nie każdy adres e-mail może być uznany za daną osobową i w związku z tym, nie każdy przypadek ujawnienia osobie postronnej adresu e-mail należy traktować, jako naruszenie zasad wynikających z przepisów o ochronie danych osobowych. Nie ulega, bowiem wątpliwości, że wysłanie przez przypadek (np., jako mail do wiadomości czyjejś osoby) do osoby nieuprawnionej informacji o adresie e-mail typu biuro@xxxx.pl będzie miało inny ciężar gatunkowy niż ujawnienie niepowołanej osobie adresu osoby fizycznej np. jan.kowalski@xxx.pl.
Jeżeli jednak w korespondencji, którą przesłałeś do nieuprawnionej osoby znajdowało się więcej danych osobowych niż sam adres e-mail, należy dokonać analizy i podjąć odpowiednie kroki. Zgodnie z art. 33 RODO jeżeli naruszenie danych osobowych powoduje co najmniej średnie ryzyko dla praw i wolności osób, których dane dotyczą, wymaga zgłoszenia do Prezesa UODO nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia.
Zgłoszenie musi co najmniej:
- opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
- zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
- opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Brak podjęcia interwencji w określonym w przepisach czasie stanowi podstawę nałożenia kary finansowej. Zgodnie z RODO maksymalna kwota takiej administracyjnej kary pieniężnej może sięgnąć nawet 4% rocznego obrotu lub kwoty 20 mln EUR.
Jakie kroki należy podjąć, jeżeli w ramach przedsiębiorstwa dojdzie do pomyłki w wysyłce maili?
- Poinformować osobę, której bez uprawnienia zostały ujawnione dane osobowe o tym naruszeniu, osoba ta powinna podjąć kroki by usunąć otrzymaną wiadomość.
- Jeżeli został powołany w organizacji Inspektor Ochrony Danych Osobowych, skontaktować się z nim w celu przeprowadzenia analizy, czy zakres i charakter ujawnionych danych może powodować co najmniej średnie ryzyko dla praw osób, których dane zostały ujawnione, a jeżeli tak:
- Poinformować o tym fakcie osoby, których dane zostały ujawnione,
- Dokonać zgłoszenia organowi nadzorczemu wraz z informacjami wynikającymi z art. 33 wskazanymi powyżej.
Aby ograniczyć w przyszłości ryzyko ponownego wycieku danych osobowych i tym samym naruszenia przepisów RODO, warto rozważyć przeszkolenie pracowników w zakresie bezpieczeństwa i ochrony danych osobowych. Każde przedsiębiorstwo powinno mieć wdrożone działania, których szczegóły powinny znaleźć się w polityce ochrony danych osobowych udostępnionej i przekazanej do zapoznania się wszystkim pracownikom i współpracownikom.
Przespałeś moment wprowadzenia RODO i nadal nie masz wdrożonych procedur RODO w swoim przedsiębiorstwie? Skorzystaj z pakietu RODO, który zawiera wszystkie niezbędne dokumenty dla prawidłowego bezpieczeństwa danych oraz procedur postępowania w razie wystąpienia naruszenia.